foto freepik genki
»Angespannt bis kritisch« ist laut des neuesten Berichts des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Lage der IT-Sicherheit in Deutschland. Damit sieht das BSI die Situation so kritisch wie bislang noch nie. Die Hauptursache ist nach Angaben des Bundesamts in der anhaltenden Digitalisierung und der zunehmenden Vernetzung in sämtlichen Bereichen – in Gesellschaft, Wirtschaft und im Staat – zu sehen. Denn so wird die Angriffsfläche für Cyberangriffe immer größer. Vor allem kleine und mittelgroße Unternehmen sowie Kommunalverwaltungen und kommunale Betriebe sind im Untersuchungszeitraum (1. Juni 2022 bis 30. Juni 2023) vermehrt ins Fadenkreuz solcher Angriffe geraten.
Durch Ransomware und künstliche Intelligenz (KI) wurden laut BSI große wirtschaftliche und finanzielle Schäden angerichtet. Um solche Angriffe abzuwehren, fordert das BSI, die Resilienz zu stärken und die Widerstandsfähigkeit der IT zu erhöhen. Hierzu benötigt es durchdachte und nachhaltige Sicherheitskonzepte, wie sie beispielsweise die High Knowledge GmbH aus Köln für Rechenzentren anbietet. Bei den Lösungen wird bereits bei der Planung eine ganzheitliche Betrachtung aller sicherheitsrelevanten Bereiche vorgenommen.
Der aktuelle Bericht des BSI zeigt die Gefahren der steigenden Cyberangriffe auf, gibt aber auch Wege vor, sich dagegen zu schützen. Das sieht auch Harry Knopf so. Der Geschäftsführer von High Knowledge fordert darum: »Das Thema ist zu wichtig, um es nicht mit vollem Fokus anzugehen. Wichtig sind hier verlässliche und kompetente Partner, die das Thema möglichst ganzheitlich betrachten und zur Erhöhung der Sicherheit, Verfügbarkeit und Resilienz von Rechenzentren und technischer Gebäudeinfrastruktur beitragen.« Darum ist es wichtig, schon bei der Planung von Rechenzentren den Fokus auf alle Aspekte zu legen. Dazu zählen sämtliche sicherheitsrelevanten Bereiche, wie Zutrittskontrollen, Wartungsprozesse sowie ein effektives Redundanzkonzept. Weiter gehören dazu die Vermeidung von Single-Point-of-Failure, die Erhöhung der Infrastruktur-Resilienz durch Berücksichtigung von Ein- und Zwei-Fehlerfall-Ereignissen, Pentests von IT aber auch der technischen Gebäudeinfrastruktur sowie die automatische Aktivierung von Sicherheitsprotokollen bei sicherheitsrelevanten Störungen.
Gesetzliche Vorschriften einhalten
Die Sicherheit der sensiblen Daten und Infrastruktur steht in einem Rechenzentrum an erster Stelle. Dazu gibt der Gesetzgeber auch strenge Vorgaben mit dem BSI-Kritis-Gesetz (BSI-KritisV: Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz) bei kritischer Infrastruktur mit entsprechenden Meldepflichten vor. Hier zählen unter anderem regelmäßige fachgerechte Prüfungen von sicherheitsrelevanten Anlagen wie beispielsweise der Brandschutz- und Sicherheitszentrale dazu. Weiter sind die elektrischen Prüfungen nach DGUV Vorschrift 3 (DGUV V3) und der E-Check VDE VDE 0100 vorgeschrieben. Diese beiden Prüfungen werden auch von den Experten von High Knowledge durchgeführt. Weiter sollten Betreiber von Rechenzentren die ISO 27001-Zertifizierung auf Basis von BSI IT-Grundschutz und SOC 2 vorweisen können. Diese gesetzlichen Anforderungen werden vom Kölner Unternehmen schon bei der Planung detailliert berücksichtigt und dokumentiert, sodass im späteren Betrieb der jeweiligen Anlage alles reibungslos ablaufen kann.
Zwei Säulen der Sicherheit
Damit ein Rechenzentrum bestens geschützt ist, muss das Sicherheitskonzept auf zwei Säulen stehen. Zum einen sollte ein Sicherheitskonzept für die gesamte Anlage aufgestellt werden. Hierfür bietet sich das abgestufte Zonenkonzept an. Die IT wird darüber hinaus mit spezieller Software und Pentests vor unerlaubten Zugriffen geschützt. Die Pentests betrachten vor allen Dingen die Netzwerksicherheit. Hier werden Schwachstellen analysiert und aufgezeigt. Des Weiteren sorgen Firewalls, Anti-Malware-Software, Intrusion-Detection-Systems und Zugriffskontrollen für die Sicherheit der Daten.
Ein wichtiger Aspekt ist aber die hundertprozentige Sicherheit der gesamten Anlage. Diese fängt am Eingangstor an und hört im Serverraum auf. Hier greifen nachhaltige und intelligente Zugriffskontrollsysteme, die mehrstufig aufgebaut sind. So bildet die erste Zone den äußeren Ring. Das gesamte Gelände wird hier durch einen Sicherheitszaun geschützt. Die Ein- und Ausgänge werden durch ein modernes Kamerasystem rund um die Uhr überwacht. Der Zugang zum Rechenzentrum ist nur für und durch das Sicherheitspersonal möglich, sodass dort zwangsweise eine Überprüfung aller Personen stattfindet, die das Gebäude betreten wollen. Die aufgenommenen Bilder und Daten werden am besten 90 Tage gespeichert und die Bilder direkt in die Sicherheitszentrale eingespielt. Auch die Sicherheitszentrale sollte rund um die Uhr besetzt sein. Alternativ können – insbesondere bei kleineren Rechenzentren – auch wirksame Schleusen- und Schließsysteme diese Aufgabe erfüllen. Denn so muss sich jede Person anmelden, die das Gebäude betreten will. Das Sicherheitspersonal oder die Schleusentechnik überprüft jede Anmeldung. Handelt es sich bei der Person um einen Mitarbeiter eines Kunden des Rechenzentrums, erfolgt als nächstes eine Überprüfung gegen die offizielle Personalliste des Kunden. Die Liste sollte nie älter als 30 Tage sein und bei Personalwechsel unverzüglich aktualisiert werden.
Zweite und dritte Sicherheitszone
Die zweite Sicherheitszone des Konzepts befindet sich zwischen dem Sicherheitsschalter und dem eigentlichen Rechenzentrumsbereich. Hier werden vor allem alle Zugangswege zum Serverraum, aber auch Konferenzräume, Büros, Küchen, Waschräume oder Toiletten überwacht, um so einen unrechtmäßigen Zugang zu verhindern. Hier ist heute eine Verbindung zwischen Kamera und Türzugangssystem oder bewegungsgesteuerten Kameras Standard. In der Regel erfolgen in der Sicherheitszentrale Alarme, wenn eine Tür nicht binnen eines vordefinierten Zeitraums geschlossen wird. Dazu gehören auch Videoschleusen – wie etwa von High Knowledge installiert – als effektive und moderne Vereinzelungsanlagen in den definierten Sicherheitsbereichen. Hierbei wird aber – wie in allen anderen überwachten Bereichen – strikt auf die Datenschutzverordnung geachtet.
Einen vollständigen Schutz für das Rechenzentrum bietet die genaue Umsetzung der sogenannten dritten Zone. Diese ist die Hochsicherheitszone, in der sich die Bereiche für die IT-Systeme und die systemkritischen Anlagen des Rechenzentrumsbetreibers befinden. Darum gelten in diesem Bereich auch die höchsten Sicherheitsanforderungen. Die Türen sind rund um die Uhr mit Kameras und einer zweiten Schutzmaßnahme wie Zugangskontrollsystemen oder Schlössern gesichert. Zur Sicherstellung eines reibungslosen Ablaufs und um zu gewährleisten, dass alles auf dem neuesten Stand ist, sollten die Zutrittskontrollsysteme des Rechenzentrums regelmäßig überprüft und gewartet werden. Auch hier bedarf es eines verlässlichen und kompetenten Partners, der das Sicherheitskonzept ganzheitlich prüft und gegebenenfalls optimiert. Denn nur so kann die Erhöhung der Sicherheit, Verfügbarkeit und Resilienz von Rechenzentren und technischer Gebäudeinfrastruktur gewährleistet werden.
Fazit
Die Bedrohung im Cyberraum nimmt weiter zu. Das ist das Ergebnis des BSI-Berichts »Die Lage der IT-Sicherheit in Deutschland 2023«. Aber auch der Grad der Digitalisierung im privaten, öffentlichen und wirtschaftlichen Raum steigt stetig an. Darum ist ein nachhaltiges und effektives Sicherheitssystem für Rechenzentren immens wichtig. Hier sollte auf kompetente Partner gesetzt werden, die mit ihrer Lösung für eine ideale Absicherung sorgen. Dazu gehört ein mehrstufiges Sicherheitskonzept, das verschiedene Überwachungsmethoden sowie eine Kombination von mechanischen und elektronischen Sicherungssystemen beinhaltet. Das Konzept sollte immer genau auf die jeweilige Anlage und Anforderung abgestimmt werden. Denn so können auch einzelne Verfahren variieren und unterschiedliche Sicherheitsstandards in verschiedenen Bereichen abbilden. Dazu gehören beispielsweise der Einsatz von biometrischen Zutrittskontrollen wie Fingerabdruck- oder Iris-Scans, Zutrittsschleusen oder Personenvereinzelungsanlagen. Eine Zwei-Faktoren-Authentifizierung sorgt darüber hinaus für noch höheren Zugangsschutz. Auch die IT sollte mit der entsprechenden Schutz-Software jederzeit gesichert sein. Der Schutz sensibler Daten ist aber gleichzeitig gewährleistet. Denn die Einhaltung der neuen Datenschutzgrundverordnung ist ebenfalls im Sicherheitskonzept verankert.